WHAT IS RANSOMWARE? THE RANSOM-BASED MALWARE DEMYSTIFIED

在許多資安刊物中，當勒索軟體被提起時 ，他的恐怖影響力與氣候變化，伊波拉或某某名星死去等有著相同令人恐懼的敬畏 - 這是一個具有毀滅性影響的謎。
​
然而，現在出現的勒索軟體通常不比之前如花園般多樣式的惡意軟體來的複雜多。它是可以被停止。

勒索軟體與普通惡意軟體有什麼共同之處？

所有惡意軟體的基本需求都是避免檢測 - 如果被發現，那麼成功機會很低。以下是惡意軟體隱藏的一些常見方式：

Encryption 加密:  大多數惡意軟體使用加密來混淆特徴碼檢測。它們不是顯示為惡意可執行文件，而是顯示為字母數字的隨機字串。大多數防毒現在都知道如何查找這些文本字符串或 Hash值，但製作惡意軟體的人很容易改變其文件的基礎子結構，以使該 Hash 顯示不同。

Timing 定時:  如果端末檢測系統沒有連續監控功能，則基於定時的混淆的惡意軟體可以在其周圍運行。此類惡意軟體僅在絕對必要時運行，例如在用戶重新啟動後運行，以避免在惡意軟體掃描期間運行。

Communication 通訊 : 基本上，惡意軟體是為了竊取數據而製作的 - 這意味著它通常需要向其父母 “打電話回家” 通報。防毒軟體檢視在伺服器，網域和 IP 地址上進行通信的程序，而對於既定類型的惡意軟體的host command 及 control server ，這些伺服器，網域和 IP 地址為已知。通過倒換這些地址，惡意軟體可以逃避防病軟體：其程序被編程為在既定時間僅查看小範圍的 C＆C 伺服器。

Virtualization Awareness 虛擬化檢視 : 許多惡意軟體工具都有特定的 sensors ，可以檢測它們是否處於虛擬環境中，以逃避 honeypots 或阻止資安研究人員解開其組件。

那到底是什麼讓 RANSOMWARE 不同？
當然，真正的區別就是贖金啦。勒索軟體旨在執行新奇的操作，例如加密大量文件，刪除允許用戶從備份恢復的 shadow 副本，以及使用 C＆C 伺服器存儲用戶在付款後解鎖文件的加密密鑰。

然而，所有這些動作都是行為機制。基於特徵碼的防毒軟體不會尋找行為，而是尋找其可識別特徵，例如正在運行的進程名稱，加密文件的 hash 值或惡意軟體回報所在的伺服器。正如以上所述，這些特徵很容易掩蓋，一旦勒索軟體開始採取行動，基於特徴碼的惡意軟體就無法得知有壞事正在發生。

請確保您的端末安全提供軟體使用行為檢測，以防止勒索軟體攻擊，並確保您不是一個簡單的目標。

原文